Tko je odgovoran za obradu osobnih podataka u zdravstvenim ustanovama?

Isto tako, nije moglo ne izazvati sumnju u sigurnost obrade naših osobnih podataka od strane zdravstvenog sustava.

Sve to navodi na potrebu na se skrene pozornost da je za propuste ili nastale incidente vezano za osobne podatke uvijek odgovoran voditelj obrade (poslovni subjekt) a ne njegov zaposlenik.

U izjavi navodi se slijedeće:

"Bolnički informacijski sustav koji se koristi u Općoj bolnici Pula, kao i u većini zdravstvenih ustanova u Republici Hrvatskoj, je sustav u kojeg se unose svi podatci o pacijentima i njihovom liječenju. S obzirom da se radi o zaštićenim podatcima pristup navedenom sustavu moguć je isključivo uz jedinstveno definiranu prijavu korisnika (naziv korisnika i lozinka). Na nivou prijave definirane su i ovlasti koje pojedinom djelatniku omogućavaju pristup samo onim podatcima kojima pojedini djelatnik ima pravo pristupiti. Nivoi ovlaštenja se razlikuju između administratora odjela, medicinskih sestara/tehničara i liječnika. Sukladno navedenom ne postoji mogućnost pristupa medicinskim podatcima neovlaštenim osobama, odnosno s obzirom da su prijave u sustav jedinstveno definirane na nivou korisnika, svaki korisnik je, sukladno pozitivnim propisima o zaštiti osobnih podataka, osobno odgovoran za zaštitu podataka pacijenata i osobne prijave za ulaz u sustav."

Neupitno je da se radi o prijavi korisnika u bolnički sustav putem naziva korisnika i njegove lozinke i da se korisniku omogućava pristup samo onim podacima za koje ima ovlaštenja. Međutim, s navodom da je korisnik (zaposlenik bolnice) „sukladno pozitivnim propisima o zaštiti osobnih podataka, osobno odgovoran za zaštitu podataka pacijenata i osobne prijave za ulaz u sustav.“, ne možemo se složiti.

Prema Općoj Uredbi, uvijek je odgovoran voditelj obrade (bolnica), a ne zaposlenik i to neovisno o tome je li zaposlenik poštovao pravila ponašanja i rada.

Bolnica je ta koja kao voditelj obrade mora osigurati organizacijske i tehničke mjere zaštite, a što uključuje i postavljanje pravila i odgovornosti ponašanja, te osigurati druge mjere kako bi takve propuste svela na minimum. To znači da ne nije dovoljno samo osigurati da se u sustav, koji sadrži sve podatke o pacijentima, ulazi temeljem korisničkog imena i lozinke, već je potrebno urediti i druge organizacijske i tehničke mjere zaštite u skladu s predviđenim rizicima i mogućnostima subjekta.

Primjerice, osigurati jasna pravila pristupa i procedure, kao i odgovornost u slučaju nepoštovanja tih procedura npr. procedura za ulazak u sustav, procedura upravljanja lozinkama, primijeniti adekvatne tehničke mjere npr. adekvatne IT zaštite, automatsku blokadu ulaska nakon što se primjerice unutar tri mjeseca nije promijenila lozinka za ulaz ili je više od tri puta pogrešno upisana i drugo.

Zaključno, potrebno je znati sljedeće:

Kada se dogode propusti odgovornost je na voditelju obrade – u ovom slučaju odgovornost je na bolnici, a ne na zaposleniku koji je izazvao propust.

Zaposlenik može biti i zacijelo jest odgovoran po osnovi radno-pravnih odnosa i/ili drugih pravnih normi, ali ne i po pitanju odgovornosti koje proizlaze iz Opće uredbe.

Građanin (ispitanik) do čije povrede osobnih podataka eventualno dođe, neće tražiti zaštitu svojih prava i naknadu štete od radnika koji je doveo do povrede već će to isključivo tražiti od voditelja obrade tj. u ovom slučaju od bolnice.

Slijedom navedenog, a uzimajući u obzir da se radi o zdravstvenim podacima koji spadaju u posebno štićenu kategoriju osobnih podataka i zahtijevaju, uz navedeno i dodatne mjere zaštite, mi u Centru Feralis mišljenja smo da nepoznavanje osnovnih načela obrade osobnih podataka, posebice u kategoriji zdravstvenih podataka gdje su nužne dodatne mjere zaštite, navodi da je uprava bolnice zanemarila potrebu primjene Opće Uredbe.

S obzirom da se u službenim izjavama referiraju na cijeli zdravstveni sustav, postavlja se pitanje za dodatnom provjerom mjera koje se odnose na zaštitu osobnih podataka, a napose posebno štićenih podataka u zdravstvu na nacionalnoj razini i nužnom potrebom usklađivanje rada s Općom uredbom.